PKI - Perché la CA radice si trova nella sezione CA intermedia?

3

Non riesco a capire perché, quando accetto di "installare" una CA root autofirmata personalizzata sul browser IE, il certificato radice finisce nella sezione "CA intermedio", piuttosto che nella sezione "CA radice" nel contenitore del certificato del browser (e anche in Gestione certificati di Windows, potrebbero essere entrambi uguali).

È una strategia Microsoft, per visualizzare solo nella sezione CA radice l'elenco CA attendibile? E non permettendo l'inserimento di una CA root "non nota" in questa sezione?

Quando lo utilizzo, non vedo alcuna differenza, ma deve esserci una spiegazione.

    
posta crypto-learner 29.12.2014 - 17:12
fonte

1 risposta

2

Questi problemi spesso derivano da parametri di utilizzo dei certificati errati. Ovviamente, è necessario disporre di CA: TRUE, ma anche gli altri parametri chiave di utilizzo devono essere corretti. Se i parametri di utilizzo del certificato non sono corretti, è probabile che Windows rilevi automaticamente questo certificato come CA intermedia.

Se c'è la minima disprecazione tra il firmatario e l'oggetto del certificato (quindi non è più "autofirmato" davvero ortodosso), allora sarà preso come un certificato intermedio.

È possibile installarlo come certificato intermedio. Vai quindi nel percorso del certificato e controlla se Windows ritiene che questo certificato sia stato firmato da un'altra CA. Se Windows rileva erroneamente il certificato come intermedio, dovresti vedere un certificato superiore che è presente con una X sopra il tuo certificato perché Windows non sa di questo certificato.

Se vuoi ancora installare questo come un vero certificato di root, puoi eseguire manualmente l'override del posizionamento del certificato deselezionando la casella "Consenti a Windows di scegliere un negozio adatto per questo certificato" e quindi selezionando manualmente "CA radice".

    
risposta data 30.12.2014 - 00:10
fonte